Post on 30-Jun-2020
A Gestão do Risco nos Grandes Hospitais
Eng.º Rui Gomes
Director das Tecnologias e Informação do HPFF
Patrocínio
Principal
Patrocinadores
Globais
Rui Gomes Hospital Professor Doutor Fernando Fonseca 15 de Dezembro 2011
Só a existência de uma arquitectura pode responder
às questões da complexidade e da mudança. É a
única forma que a Humanidade tem de lidar com
elas. Ao caos opõe-se à estrutura. Zachman
A Gestão do Risco nos grandes Hospitais
Conferência As TIC e a Saúde no
Portugal de 2011
15 de Dezembro de 2011 Auditório do Centro Hospitalar
Psiquiátrico de Lisboa Av. Brasil, Lisboa
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
2001
Esta apresentação nada tem a ver com…
os computadores, os servidores, as bases de dados, os tablets, o wifi, as larguras de banda, a internet, a cloud, os processos clínicos, as firewalls, os antivirus, as empresas, a ACSS, a microsoft, o licenciamento, a virtualização, os thin clients, etc… e nenhum problema de Tecnologias.
Esta apresentação tem tudo a ver com…
Problemas de gestão (desde o nível estratégico ao operacional), falta de estratégia, ausência de visão, desalinhamento, desordem, incapacidade, passividade, esmorecimento, resignação, intolerância, obtusidade, indefinição de prioridades, e outras borboletas que tais que nos guiam ao CAOS e limitam na nossa capacidade de crescer.
INTRODUÇÃO
INTRODUÇÃO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Aumento da exposição ao Risco
Complexidade dos Riscos
Complexidade na Protecção Riscos
Bem (Asset)
Cultura
Ambiente Físico
Tecnologias Continuidade Negócio
Gestão
Privacidade
Asset (Bem)
Incidentes Segurança
Definição de asset no ambiente
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Árvore
Quem somos e o que vemos?
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Floresta
Quem somos e o que vemos?
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Onde estamos ?
Infra-estruturas
Sistemas Informação
Maturidade
10 anos
10 anos
Risk IT
Risk IT
Maturidade
CICLO ETERNO
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Porquê?
As equipas dos Departamentos de Sistemas de Informação têm pouca participação ou motivação em grupos… Governance, Qualidade, Gestão de Risco, Segurança, etc..
“Comité Olímpico”
Os Departamentos de Sistemas de Informação vivem sujeitos a imensa adversidade e incertezas - vulgarmente Riscos - contantes, que algures no tempo, senão forem tratados criam impacto.
“Teoria do Caos”
CICLO ETERNO
Exemplo de uma paragem por completo num hospital publico durante aproximadamente 12 horas devido a uma alteração de denominação de rede de um equipamento que não era possível identificar no meio.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
CICLO ETERNO
Exemplo de uma paragem por completo num hospital publico durante aproximadamente 12 horas devido a uma alteração de denominação de rede de um equipamento que não era possível identificar no meio.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
2001
Anti-Virus
Firewall
Patchs
Proxy
Política Utilização
Políticas Acesso
Organização
Cultura
Exemplo
Seg. Física
Seg. Lógica
asset ?
? ?
O QUE NÃO QUEREMOS
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
Gestão de
assets
Plano continuidade
negócio
Gestão de
incidências
Gestão serviços
(ITIL)
Gestão identidades
Políticas hardening
Plano disaster recover
Credenciais
SGRH
Políticas
Gestão Contratos/
Outsourcing
?
?
?
?
?
Ausência de…
Muitas vezes as questões de proteção para as empresas
inclinam-se unicamente em ajudar os clientes a
protegerem-se das ameaças externas ao nível da
circulação de informação electrónica (anti-virus,
certificados digitais, firewall, etc…)
• Desmotivação (esmorecimento)
• Negligência dos colaboradores;
• Falta de capacidades compatíveis funções;
• Desconhecimento ou ignorância;
O Elo Mais Fraco
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
Níveis de maturidade da informação clínica e a sua relação com o RISCO
Gerir a Segurança
é necessário vigiar os Riscos
e melhorar mecanismos de protecção
Os mecanismos de protecção não são suficientes.
Ou seja, é necessário…
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE NÃO QUEREMOS
Claúsulas de abrangência
Aspectos Físico s
Aspec tos técnicos
Operacional
Políticas Segurança
Organização Segurança
Gestão Bens
Conformidades
Segurança Pessoas
Gestão Continuidade Negócio
Controlo Acesso
Comunicações & Gestão de Operações
Segurança Física & Ambiental
Aspectos Tácticos
Táctico
Desenvolvimento
Sistemas & Manutenção
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
1 Política de Segurança da Informação
2 Organização da Segurança da Informação
3 Gestão de Recursos
4 Gestão de Recursos Humanos
5 Gestão da segurança física e ambiental
6 Gestão das Comunicações e Operações
7 Controlo de acessos
8 Aquisições, manutenções e desenv. de sistemas
9 Gestão de incidentes de segurança da informação
10 Plano de gestão da continuidade de negócio
11 Conformidade com os aspectos legais
Cláusulas da ISO/IEC 27002:2005
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
Mitigar o risco
Implementar controlos técnicos de mitigação de risco (por exemplo uma
firewall)
Evitar o risco
Decidir não avançar ou não implementar
Aceitar o Risco
Decidir que o nível de risco identificado está
dentro do limiar de tolerância das
capacidades da organização
Transferir o risco
Aquisição de seguros ou outsourcing
Formas de abordar do Risco
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
Ava
liaçã
o d
e R
isco
s
Gestão de Risco
Identificar Controlar
Monitorizar Implementar Planear
Avaliar
Gestão do Risco
A implementação de mitigação de riscos envolve tipicamente as Pessoas, os Processos e as Tecnologias.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
Implementação de um SGSI
«Estabelecer SGSI»
«Implementar e operar
SGSI»
«Verificação, Monitorização, Revisão
do SGSI»
«Manutenção e melhoria
do SGSI»
Estrutura de um SGSI
Família TC 215 - ISO 27000 também conhecida como ISO 27k
ISO/IEC 27000 - vocabulário e definições utilizadas
27005
Gestão de Risco
(ISO 13335)
27001 - requisitos para um SGSI
27002 - Boas Práticas para um SGSI
27003 - Guia de Implementação SGSI
27004 - Métricas e Medidas avaliar SGSI
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
O QUE PODEMOS CULTIVAR
Do Caos à Estrutura
Lidar com a Complexidade
Papel do CEO, CFO, CMIO, CIO, CISO e CTO
CTO
CIO
INCERTEZA
CEPTICISMO ACEITAÇÃO
CONFIANÇA
RESPEITO
t
Gestão
SI/TI
Governança
SI/TI
Operacional Estratégia
Engenharia Arquitectura
Só a existência de uma arquitectura pode responder às
questões da complexidade e da mudança. É a única
forma que a Humanidade tem de lidar com elas. Ao
caos opõe-se à estrutura. Zachman
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
RESULTADOS EXPECTAVEIS
Não é possível manter a segurança sem
planear a sua gestão
Nenhuma organização vai estar um dia totalmente protegida das ameaças que põem em risco a sua Informação de negócio.
Investir num nível de protecção que se considere próximo do ideal atingiria custos muito elevados ou bloquearia de forma não aceitável os processos desenvolvidos pelo hospital.
No entanto…. As utilização do modelo de boas práticas possibilitaria uma abordagem sistemática dos riscos (que pode ser realizada numa forma gradual e com custos controlados) de modo a implementar controlos com o objectivo de os minimizar.
INTRODUÇÃO
O QUE NÃO QUEREMOS
CONCLUSÕES
O QUE PODEMOS CULTIVAR
CICLO ETERNO?
RESULTADOS EXPECTAVEIS
CONCLUSÕES
OBRIGADO
rui.gomes@hff.min-saude.pt